- 글로벌 업체들 위기의식 고조, 국내 공공 시장 진입장벽 작용할까 ‘촉각’

[디지털데일리 이유지기자] 국가정보원과 국가보안기술연구소가 오는 10월부터 보안적합성 검증이 의무화되는 스위치, 라우터에 적용될 보안기능요구사항을 최종 공개하면서 네트워크 장비업계가 분주해졌다.

지난 10일 공개된 스위치·라우터의 보안기능요구사항은 작년 말에 발표됐던 21개 최소보안요구사항에서 세분화됐다. 필수항목 개수는 27개로 늘어났고 선택항목을 포함해 총 44개 항목으로 확정됐다. 암호지원(112비트 이상) 등을 제외하고 대부분 최소보안요구사항에 담겨 있던 사항들이지만 일부는 변경돼 추가 개발이 필요한 상황이다.

네트워크장비 보안적합성 검증제도 최초 시행일이 두 달여 앞으로 다가온 가운데, 관련업계는 향후 공공사업에 미칠 영향을 예의주시하고 있다. 시간이 갈수록 업계의 우려나 불만의 목소리는 커지고 있다.

특히 그간 네트워크 시장에서 높은 점유율을 차지했던 외산장비 공급업체들은 이같은 정책이 국내 공공시장 진입장벽이라는 악재로 작용할 수 있다는 우려감에 위기감이 높아진 상태다. 보안을 내세워 외산 장비의 공공시장 진입을 막기 위한 새로운 ‘무역장벽’으로 작용할지 여부에 촉각을 곤두세우고 있다.

◆“보안적합성 검증 정책, 이중규제·외산차별”=지난 10일 국가정보원과 국가보안기술연구소가 개최한 설명회에서 글로벌 업체 관계자들은 보안적합성 검증과 향후 시행될 CC인증 정책이 ‘이중규제’라며 목소리를 높였다. 특히 이같은 제도가 공공시장에서 외산 장비 사용률을 낮추고 국산 장비를 육성, 보호하기 위한 정책으로 추진하는 것 아니냐는 의구심을 나타내며 이 제도의 취지 자체에 문제를 제기하기도 했다.

시스코, 브로케이드, 알카텔루슨트 등 외산 장비업체 관계자들은 한목소리로 “CCRA 가입국인 우리나라가 CC와는 별도로 보안적합성 검증제도를 추진하는 것 자체가 이중규제”라며 “계약건별로 검증받도록 함으로써 구매 프로세스상에서 이 제도 자체가 국산 업체에 유리하고 외산 장비업체에는 불리하게 작용할 수 있을 것으로 보인다”고 지적했다.

한 업체 임원은 “국제 무역협정에 위반되는지, 공정성에 위배된 차별적인 조항이 없는지 계속 지켜보겠다. 외산 업체들이 함께 공조해 미국 상무부나 무역대표부에 전달하겠다”고 국정원에 경고하기도 했다.

이같은 시선은 그간 정보보호제품에 적용해온 보안성 검증(평가·인증)제도가 국산 제품에 유리하게 작용해온 것으로 평가되고 있기 때문이다. 처음 평가·인증제도를 시작한 K시리즈 인증에서부터 방화벽 등에 높은 등급의 인증을 요구하면서 국정원에 소스코드를 제출해야 했던 정책은 국내 공공 시장에서 외산 제품들 대신에 국산 제품 사용이 확대되는 계기로 작용했다.

국제공통기준상호인정협정(CCRA) 가입 후 업계의 애로사항을 개선하기 위한 평가 절차 간소화 등을 이유로 국내용 CC를 만들고 보안적합성검증을 생략하도록 제도를 운영하고 있다는 점은 외국기업들이 지탄하는 대표적인 사례다.

◆“보안기능요구사항 충족에 난감, 시일도 촉박”=업체들은 보안기능요구사항이 기존에 공개됐던 최소보안기능요구사항에서 세분화돼 필수항목이 추가, 변경된 것에 대해서도 불만을 제기하기도 했다. “최소보안요구사항에 준해 수행한 사전(자율)검증 결과에 대한 피드백을 준 것도 아니고, 시행일이 석 달도 남지 않은 상황에서 필수항목이 추가돼 어떻게 소스를 변경해 추가 개발을 진행해야 할 지 난감하다”는 얘기다. 글로벌 기업들은 상대적으로 적용 대상 제품 수가 많고 본사에 의뢰해 요청해야 하기 때문에 제품 형상변경이나 개발에 시간이 걸릴 가능성이 높다. 한국만을 위한 신속한 지원도 장담할 수 없는 상황이다.

몇몇 외산업체 관계자들은 이 자리에서 보안적합성검증 의무 시행과 관련해 “현실적으로 일정에 맞추기 쉽지 않다”며 1~2년간 유예기간을 주거나 필수항목을 없애달라는 등 제도 자체를 전면 재검토해 달라는 요구도 잇달아 제기했다.

사실 국내업체들도 글로벌 업체들에 비해 인력, 경제력 등 자원이 부족한 상황에서 일정에 맞춰 보안기능요구사항을 충족하는 것이 쉽지는 않다는 입장이 대부분이다. 하지만 국가 정책으로 진행되는 것이기 때문에 우선 자원을 투입해 일정에 맞춰 최대한 지원할 수 있도록 주력하고 있다.

한 국산 장비업체 관계자는 “시간이 지남에 따라 정책이 일부 변경되고 있고 세부사항이 명확하게 제시되지 않아 혼선을 준 것이 사실”이라며 “여러가지 우려되는 점이 있지만 국내기업 입장에서는 외국업체들처럼 내놓고 이야기하기가 어렵다”고 말했다.

다른 업체 관계자도 “평가기준이 불명확하다. 그리고 최종 항목이 이제 발표됐는데 10월부터 바로 시행해야 하는 상황에서 현실적으로 촉박하다”며 “적합성 검증이 영향을 미칠지 여부에도 의구심이 든다”고 토로했다.

이와 다른 의견으로는 “보안기능요구사항이 엄청나게 기술적 난이도가 높은 것은 아니다”라며 글로벌 업체들을 겨냥해 “외국업체들이 지원하기 어렵다고 하는 것을 이해할 수 없다. 본사에서 한국 시장 지원이 부족하다는 점을 드러내는 것밖에 안된다”고 꼬집었다. 이어 “지금까지 막강한 위치에서 자신들에게 유리하게 공공사업을 추진하다 이번 제도 시행으로 불편해질 것 같으니 과도하게 반발하고 있는 것”이라고 해석했다.

국내업계 일각에서는 외산장비와 차별성이 없이 불편함만 감수하게 됐다는 의견도 일부 나오고 있다. 당초 보안성 검증제도가 시행되면 소스코드 공개가 이뤄지는 등 제도가 국산 장비업체에 유리하게 작용할 것이란 기대감이 있었던 것이 사실이다. 올해 시행되는 보안적합성 검증과 2016년 시작될 CC인증 의무화가 현재 20%대에 불과한 국산 네트워크 장비 사용률을 높여나가는데 있어 전기를 마련해줄 것이란 예상이 나오기도 했다.

국정원 관계자는 이날 여러 외산장비 업체들의 지적에 대해 “공정성있게 제도를 운영하기 위해 설명회도 연 것”이라며 “받아들이는데 있어 온도 차가 있는 것 같다. 국가 보안을 위해 이같은 장비 도입절차를 시행하는 것으로 국제공통기준상호인정협정(CCRA)에 우선한다. 국가기관들에게도 적합성검증제도를 잘 설명해 오해가 없도록 하고, 지속적으로 업계의 의견을 반영해 최대한 간소화해 운영할 수 있도록 방안을 마련하겠다”고 했다.

◆“CC인증이 더 문제, 정책 결정 시급”=관련업계에서는 사실 보안적합성 검증보다는 2016년 1월부터 의무 시행될 CC인증을 더 걱정하고 있다. 1년 반 정도의 시간만 남아있지만 아직까지 네트워크 장비의 CC평가·인증 정책은 전혀 구체화되지 않은 상황이다.

이날 설명회에서 한 업체 담당자는 “2016년부터 CC인증이 의무화되는데 2015년 말까지 1년 반밖에 안남았다. 현재 우리나라 CC 평가기관에 평가를 신청한 보안 장비들이 밀려있는 상황이다. 인증을 받지 못해 장비를 팔지 못하는 경우도 있다”며 “(CC인증 의무화) 시행 시기를 조정하거나 사후 인증 방안은 없냐”는 의견과 질문을 내놨다. 국정원은 관련정책을 향후 결정해 발표하겠다는 입장만 밝혔다.

다른 업체 관계자도 “정보보호제품도 CC적체가 심각한 상황인데 아직 평가기준조차 정해지지 않았으니 준비를 하려고 해도 개발할 수 없는 상황”이라며 “보안적합성 검증보다 CC인증 시행이 더 큰 혼란이 예상된다. 글로벌 업체들은 이미 CC인증을 받은 제품들이 많고 해외에서 받으면 된다. 관련인력과 조직도 이미 갖추고 있기 때문에 국내업체보다 상황이 나을 것으로 보인다”고 했다. 이 관계자는 “보안성 검증 정책이 당초 의도했던 효과에 미치지 못한 채 서로 불편한 규제만 남을 수 있을 것 같아 우려스럽다”고 덧붙였다.

<이유지 기자>yjlee@ddaily.co.kr